エンタープライズCAとスタンドアロンCAの機能の違い

Windowsの証明機関を導入するにあたって、エンタープライズCAとスタンドアロンCAの機能の違いを知る事はとても大切です。両機能でできる事が異なりますので、事前に導入するシステムでどちらを利用すべきか要件を固めておきます。


ルート証明機関と下位の証明機関の種類の違いについては、別途、記載します。

 

では、エンタープライズCAとスタンドアロンCAの機能の違いについて、MSの情報をもとに簡単に説明したいと思います。


スタンドアロンCAの特徴】

・AD DSが不要
スタンドアロンCA は「Active Directory ドメイン サービス (AD DS)」 を使用する必要はありません。
また、AD DS を使用している場合、スタンドアロン CA を CA 階層内のオフラインの信頼されるルート CA として使用したり、エクストラネットまたはインターネットを介してクライアントに証明書を発行するために使用したりすることができます。

エンタープライズCAはAD DSが必須です。その為、ドメインメンバである必要があります。スタンドアロンCAは、ドメインメンバである必要はないので、階層構成でルートCAと構築するのに適しているとも言えます。

 

・証明書要求時にユーザーの識別情報が必要
ユーザーは、証明書の要求をスタンドアロン CA に送信するときに、ユーザーの識別情報を提供し、必要な証明書の種類を指定する必要があります 。※エンタープライズ CAの場合、ユーザ情報はAD DSを利用し、証明書の種類は証明書テンプレートに記述されているため、この操作は不要。

要求の認証情報は、ローカル コンピューターのセキュリティ アカウント マネージャー データベースから取得されます。


・証明書の要求が保留される
既定では、スタンドアロン CA に送信される証明書の要求は、スタンドアロン CA の管理者が送信情報を確認してその要求を承認するまで、すべてが保留状態に設定されます。スタンドアロン CA では証明書の要求者の資格情報は確認されないため、管理者がこれらの確認タスクを実行する必要があります。


・証明書テンプレートは使用されない
エンタープライズCAでは、用途ごとに証明書テンプレートが用意されていて、そのまま利用したり、カスタマイズして利用する事ができます。スタンドアロンCAは証明書テンプレートは使用されません。

 

 

・証明書の配布は手動
管理者がスタンドアロン CA の証明書をドメイン ユーザーの信頼されたルート ストアに明示的に配布するか、ユーザー自身がそのタスクを実行する必要がある


また、スタンドアロンCAもAD DSと連携させることができます。その場合、以下の機能が追加されます。個人的には、AD DSと連携させたい場合は、エンタープライズCAを選択する事をお勧めします。

 

・信頼されたルート証明機関証明書ストアに証明書を伝達
Domain Admins グループのメンバーまたはドメイン コントローラーへの書き込みアクセス権を持つ管理者がスタンドアロン ルート CA をインストールすると、ドメイン内のすべてのユーザーとコンピューターの信頼されたルート証明機関証明書ストアに、その CA が自動的に追加されます。
Active Directory ドメインスタンドアロン ルート CA をインストールする場合は、証明書の要求を受信する CA の (要求を保留状態としてマークする) 既定の操作を変更しないでください。変更すると、信頼されたルート CA は、証明書の要求者の ID を確認しないで証明書を自動的に発行します。


・CA証明書とCLRをAD DSに発行
エンタープライズ内の親ドメインの Domain Admins グループのメンバーまたは AD DS への書き込みアクセス権を持つ管理者がスタンドアロン CA をインストールすると、スタンドアロン CA は、その CA 証明書と証明書失効リスト (CRL) を AD DS に発行します。

 


エンタープライズCAの特徴】

Active Directory ドメイン サービス (AD DS) へのアクセスが必要
エンタープライズCAはAD DSと連携して動作する為、オンラインにしておく必要があります。スタンドアロンCAはその限りではありません。また、エンタープライズCAのインストールには、Domain Admins グループのメンバーであるか、AD DS に対する書き込みアクセス権限を持つ管理者である必要です。


・グループポリシーにより信頼されたルート証明機関証明書ストアに証明書を伝達
グループ ポリシーを使用して、ドメイン内のすべてのユーザーおよびコンピューターの、信頼されたルート証明機関証明書ストアに証明書を伝達します。


・ユーザー証明書および証明書失効リスト (CRL) を AD DS に発行
証明書を AD DS に発行するためには、CA がインストールされているサーバーが Certificate Publishers グループのメンバーである必要があります。サーバーが所属するドメインではこの要件が自動的に満たされますが、他のドメインの証明書を発行するためには、適切なセキュリティのアクセス許可をサーバーに委任する必要があります。

複雑な構成でない限り、CAが所属する同一ドメイン内のマシンに証明書を発行する場合が多いと思いますので、問題ないと思います。


また、エンタープライズ CA では、証明書テンプレートに基づいて証明書を発行します。証明書テンプレートを使用すると、次の機能を実行できるようになります。

 

・証明書の登録時にエンタープライズ CA でユーザーの資格情報チェックを実施できる
各証明書テンプレートには AD DS でのセキュリティのアクセス許可セットがあり、これにより、要求された種類の証明書を受信することを証明書の要求者が承認されているかどうかを確認します。


・証明書のサブジェクト名は、AD DS の情報に基づいて自動的に生成されるか、要求者によって明示的に指定される


・ポリシーモジュール
ポリシー モジュールでは、事前定義された証明書の拡張機能の一覧を、発行された証明書に追加します。拡張機能は証明書テンプレートで定義されます。これにより、証明書およびその用途に関して証明書の要求者が指定する必要のある情報量を減らすことができます。


・証明書の自動配布
グループポリシーにより証明書を自動配布する事ができます。証明書テンプレートに基づき、特定のマシン、ユーザ、グループに用途ごとの証明書を配布することができます。

 

エンタープライズCAを構築する最大のメリットはこの機能が利用できる事です。


以上がエンタープライズCAとスタンドアロンCAの違いです。Windows Server 2012からはエディションによる機能の違いがないので、以前よりエンタープライズCAを手軽に構築できるようになったと思います。


エンタープライズCAの最大のメリットは証明書の自動配布です。システムを利用するユーザが大規模であるほど、この機能により管理工数を削減する事ができます。


このエンタープライズCAを利用すれば、無線LANの認証で敷居の高そうな「EAP-TLS認証」でクライアント証明書をWindowsPCに自動的に配布する事ができます。証明書はGPO適用時に自動的に配布してくれるので、作業工数はグンと減りますよね。また、セキュリティ強度も上がります。


ただ、 EAP-TLS認証はRadiusサーバも構築する必要がありますので、別途、知識が必要ですけどね。